リモート環境のセキュリティ対策に関する次の記述を読んで,設問に答えよ。
Q社は,首都圏で複数の学習塾を経営する会社であり,各学習塾で対面授業を行っている。生徒及び生徒の保護者からはリモートでも受講が可能なハイブリッド型授業の導入要望があり,Q社の従業員からはテレワーク勤務の導入要望がある。
〔Q社の現状のネットワーク構成〕
Q社のネットワーク構成(抜粋)を図1に示す。
図1 Q社のネットワーク構成(抜粋)
〔Q社の現状のセキュリティ対策〕
Q社のセキュリティ対策は次のとおりである。
・パケットフィルタリングポリシーに従った通信だけをFWで許可し,その他の通信を遮断している。
・業務上必要なサイトのURL情報を基に,URLフィルタリングを行うソフトウェアをプロキシサーバに導入して,業務上不要なサイトへの接続を禁止している。
・PC及びサーバ機器には,外部媒体の使用ができない設定をした上で,マルウェア対策ソフトを導入して,マルウェア感染対策を行っている。
・PC,ネットワーク機器及びサーバ機器には,脆弱性に対応する修正プログラム(以下,セキュリティパッチという)を定期的に確認した後,適用する方法で,脆弱性対策を行っている。
・ネットワーク機器及びサーバ機器のEOL(End Of Life)時期が近づいており,機器の更新が必要である。
・セキュリティパッチが提供されているかの調査及び適用してよいかの判断に時間が掛かることがある。
・ルータとFWを利用した①境界型防御によるセキュリティ対策では,防御しきれない攻撃がある。
・セキュリティインシデントの発生を,迅速に検知する仕組みがない。
Q社では,ハイブリッド型授業とテレワーク勤務が行えるリモート環境を実現し,Q社のセキュリティに関する課題を解決する新たな環境を,クラウドサービスを利用して構築することになり,情報システム部のR課長が担当することになった。
〔リモート環境の構築方針〕
R課長は,境界型防御の環境に代えて,いかなる通信も信頼しないという a の考え方に基づくリモート環境を構築することにした。
R課長は,リモート環境について次の構築方針を立てた。
・クラウドサービスへの移行に伴い,ネットワーク機器及びサーバ機器は廃棄し,今後のQ社としてのEOL対応を不要とする。
・②課題となっている作業を不要にするために,クラウドサービスはSaaS型を利用する。
・セキュリティインシデントの発生を迅速に検知する仕組みを導入する。
・従業員にモバイルルータとセキュリティ対策を実施したノートPC(以下,貸与PCという)を貸与する。今後は,本社,学習塾及びテレワークでの全ての業務において,貸与PCとモバイルルータを使用してクラウドサービスを利用する。
・貸与PCから業務上不要なサイトへの接続は禁止とする。
・生徒は,自宅などのPC(以下,自宅PCという)からクラウドサービスを利用してリモートでも授業を受講できる。
〔リモート環境構築案の検討〕
R課長はリモート環境の構築方針を部下のS君に説明し,構築する環境の検討を指示した。
S君はリモート環境構築案を検討した。
・リモート環境の構築には,T社クラウドサービスを利用する。
・貸与PCからWebサイトを閲覧する際は,③プロキシを経由する。
・貸与PCからインターネットを経由して接続するWeb会議,オンラインストレージ及び電子メール(以下,メールという)を利用することで,Q社の業務及びリモートでの授業を行う。
・貸与PCからT社クラウドサービスへのログインは,ログインを集約管理するクラウドサービスであるIDaaS(Identity as a Service)を利用する。従業員はIDとパスワードを用いてシングルサインオンで接続してクラウドサービスを利用する。
・④SIEM(Security Information and Event Management)の導入と,アラート発生時に対応する体制の構築を行う。
・貸与PCには,マルウェア対策ソフトを導入し,外部媒体が使用できない設定を行う。また,⑤紛失時の情報漏えいリスクを低減する対策をとる。
・生徒は,自宅PCからインターネット経由で,Web会議に接続して,リモートで授業を受講できる。
S君が検討したリモート環境構築案(抜粋)を図2に示す。
図2 リモート環境構築案(抜粋)
〔構築案への指摘と追加対策の検討〕
S君は検討した構築案についてR課長に説明した。すると,セキュリティ対策の不足に起因するセキュリティインシデントの発生を懸念したR課長は,“ a では,クラウドサービスにアクセスする通信を信頼せずセキュリティ対策を行う必要があるので,エンドポイントである貸与PCと自宅PCに対する攻撃への対策及びクラウドサービスのユーザー認証を強化する対策が必要である。追加の対策を検討するように。”と指摘した。
R課長が懸念したセキュリティインシデント(抜粋)を表1に示す。
項番 | 分類 | セキュリティインシデント |
1 | 貸与PC | ゼロデイ攻撃によるマルウェア感染 |
2 | ファイルレスマルウェア攻撃によるマルウェア感染 | |
3 | 自宅PC | マルウェア感染した自宅PCからWeb会議への不正アクセス |
4 | クラウドサービスのユーザー認証 | 不正ログインによる情報漏えい |
S君は,R課長の指摘に対して,表1のセキュリティインシデントに対応した次の対策を追加することにした。
・項番1,2の対策として,貸与PCに⑥EDR(Endpoint Detection and Response)ソフトを導入する。
・項番3の対策として,T社クラウドサービスは不正アクセス及びマルウェア感染の対策がとられていることを確認した。
・項番4の対策として,知識情報であるIDとパスワードによる認証に加えて,所持情報である従業員のスマートフォンにインストールしたアプリケーションソフトウェアに送信されるワンタイムパスワードを組み合わせて認証を行う, b を採用する。
S君は,これらの対策を追加した構築案をR課長に報告し,構築案は了承された。
設問1 本文中の下線①について,防御できる攻撃を解答群の中から選び,記号で答えよ。
- システム管理者による内部犯行
- パケットフィルタリングのポリシーで許可していない通信による,内部ネットワークへの侵入
- 標的型メール攻撃での,添付ファイル開封による未知のマルウェア感染
- ルータの脆弱性を利用した,インターネット接続の切断
解答・解説
解答例
イ
解説
境界型防御は、従来のネットワークセキュリティにおける代表的な防御モデルの一つであり、内部ネットワークと外部ネットワークを境界線で明確に区別し、境界線上にファイアウォールなどのセキュリティ機器を設置することで、外部からの不正アクセスを防ぐという考え方です。
境界型防御の長所
- シンプルで分かりやすい
- 効果的な防御が可能
- コストが比較的安価
境界型防御の短所
- 内部からの攻撃への脆弱性
- 柔軟性の低さ
- 運用・管理の負荷
- システム管理者による内部犯行
境界型防御では内部からの攻撃は防御できません。 - パケットフィルタリングのポリシーで許可していない通信による,内部ネットワークへの侵入
正しいです。
FWなどでフィルタリングルールを設定することにより防御できます。 - 標的型メール攻撃での,添付ファイル開封による未知のマルウェア感染
未知のマルウェアをフィルタリングすることは困難なため、防御できません。 - ルータの脆弱性を利用した,インターネット接続の切断
ルータ自体に脆弱性があり、そこを攻撃された場合は、防御できません。
設問2 〔リモート環境の構築方針〕について答えよ。
(1)本文中の a に入れる適切な字句を6字で答えよ。
解答・解説
解答例
ゼロトラスト
解説
境界型防御の欠点を克服するために注目されるようになったのが、ゼロトラストセキュリティと呼ばれる新しいセキュリティモデルです。
ゼロトラストセキュリティは、内部ネットワークと外部ネットワークの区別をなくし、すべてのアクセスを検証する(すべてのユーザーやデバイスに対して認証を行い、アクセス権限を付与することで、不正アクセスを防ぐなど)という考え方です。
境界型防御よりも柔軟性が高く、内部からの攻撃にも対応することができる反面、境界型防御よりも複雑で、導入コストも高くなります。
(2)本文中の下線②について,課題となっている作業を25字以内で答えよ。
解答・解説
解答例
セキュリティパッチ提供の調査及び適用の判断
解説
セキュリティ対策の課題として挙げられているのは、次の4点です。
・ネットワーク機器及びサーバ機器のEOL(End Of Life)時期が近づいており,機器の更新が必要である。
・セキュリティパッチが提供されているかの調査及び適用してよいかの判断に時間が掛かることがある。
・ルータとFWを利用した境界型防御によるセキュリティ対策では,防御しきれない攻撃がある。
・セキュリティインシデントの発生を,迅速に検知する仕組みがない。
これらの内、「SaaS型のクラウドサービスを利用することで不要にできる」のは、2点目のセキュリティパッチの調査及び適用になります。
(SaaSでは、OSなどの管理はクラウドサービス側の責任範囲となるため、セキュリティパッチの管理もクラウドサービス側で実施されます。)
設問3 〔リモート環境の構築方針〕について答えよ。
(1)本文中の下線③で実現すべきセキュリティ対策を,本文中の字句を用いて15字以内で答えよ。
解答・解説
解答例
URLフィルタリング
解説
ー
(2)本文中の下線④を導入した目的を,〔Q社の現状のセキュリティ対策に関する課題〕と〔リモート環境の構築方針〕とを考慮して30字以内で答えよ。
解答・解説
解答例
セキュリティインシデントの発生を迅速に検知するため
解説
ー
(3)本文中の下線⑤について,対策として適切なものを解答群の中から全て選び,記号で答えよ。
- 貸与PCのストレージ全体を暗号化する。
- 貸与PCのモニターにのぞき見防止フィルムを貼付する。
- リモートロック及びリモートワイプの機能を導入する。
解答・解説
解答例
ア,ウ
解説
ー
設問4 〔構築案への指摘と追加対策の検討〕について答えよ。
(1)本文中の下線⑥について,表1の項番1,2のセキュリティインシデントが発生した場合のEDRソフトの動作として適切なものを解答群の中から選び,記号で答えよ。
- 貸与PCをネットワークから遮断し,不審なプロセスを終了する。
- 登録された振る舞いを行うマルウェアの侵入を防御する。
- 登録した機密情報の外部へのデータ送信をブロックする。
- パターン情報に登録されているマルウェアの侵入を防御する。
解答・解説
解答例
ア
解説
ー
(2)本文中の b に入れる適切な字句を5字で答えよ。
解答・解説
解答例
二要素認証
解説
ー
IPA公開情報
出題趣旨
(公開前)
採点講評
(公開前)